校园网统一身份认证系统的设计与实现论文(编辑修改稿)

校园网统一身份认证系统的设计与实现论文(编辑修改稿)内容摘要：

设计结构图如图 所示： 图 目录存储结构树图 其中： people 目录存储所有师生的详细信息。 groups 目录用于分组管理各种资料。 例如可以分为老师和学生等。 departments 用于存储学院各级各部门的信息。 services则是各类服务的信息。 调用接口程序模块中，采用 Web Services 技术，实现跨平台、跨系统、简捷、安全的调用模式，其中应用系统调用存储流程图，如图 所示： 图 应用系统调用存储流程图 应用系统 应用系统 应用系统 应用系统 Web Services 调用 LdapClassess 类库 用户认证信息存储 dc=zzti,dc=edu,dc= =people =groups =departments =services 2 系统设计方案的研究 6 用户自助管理模块中，采用基于 Web 的方式，实现用户对于个人信息的自主管理，其中用户验证 信息 流程图，如图 所示： 图 用户在采用统一身份认证架构的应用系统中注册流程图 运行环境 本 文 系统共分为三个模块，其中各自的运行环境要求如下： 认证信息存储模块： 因为该模块中认证信息的存储采用的是基于 LDAP 的 Sun One Directory Server 服务，该 服务提供 有 Windows 版本和 Solaris 版本的安装程序，考虑到系统的稳定性和安全性因素，建议运行环境采用基于 Solaris 操作系统下的 Sun One Directory Server 服务器。 应用系统调用模块 因该模块主要使用 Web Services 服务实现应用系统对于认证信息的调用，调用参数采用 Xml 存储， 运行服务需要提供支持微软 .Net Framework 及 的 Windows 环境。 用户自助管理模块 用户自助管理模块采用微软的 Visual Studio 开发，基于 C的 技术，需要提供支持 .Net Framework 及 的 Web 环境。 统一身份认证系统验证 验证成功 用户访问应用系统 判断应用系统用户信息 验证失败 统一身份认证注册 从目录中取出相关信息写入应用系统 应用系统存在该用户 应用系统不存在用户 应用系统验证成功 华中科技大学硕士学位论文 7 3 系统 的设计 本文 系统实现了校园应用系统用户认证信息的安全存储和共享调用，用户只需要在统一身份认证系统中进行注册，在任何应用系统中都可以采用此注册信息，保证了用户注册信息的安全、单一、独立、共享。 应用系统调用认证信息 是通过调用接口程序来实现的，当用户在采用了统一身份认证的应用系统登陆时，应用系统首先调用 Web Services 程序，将输入的用户名和密码通过Web Services 调用接口类库传输到用户认证信息模块中进行验证，然后同样的途径反馈给应用系统一个 true 或者 false，从而完成应用系统用户验证。 通过上述三个模块的设计，本 文系统 实现了高校 “数字化校园 ”中应用系统的用户认证的统一管理。 下面将根据针对各个模块的具体实现，总结如下： 认证信息存储模块 本 文 系统中用户注册信息的存储是通过基于 LDAP 协议目录服 务的 Sun One Directory Server 的目录存储，采用基于 LDAP 协议的规划设计，继承了 Solaris 操作系统的安全可靠，桌面化批量管理等一系列优点。 认证信息存储模块的各种设计规划，对于统一身份认证系统的可扩展性、访问效率、安全可靠性等各方面都给予了充足的保障。 认证信息存储模块的主要任务：目录结构规划、 Sun One Directory Server 目录存储、批量 /单个用户管理。 目录结构规划 本 文 系统中将采用基于 LDAP 协议的目录进行用户注册信息的存储，简单介绍 LDAP如下： LDAP（ Lightweight Directory Access Protocol:轻量级目录访问协议）是由美国 Michigan大学研发的一个新的目录访问协议，是一个信息目录，目录服务中的目录对象可以代表管理系统中的组织信息、人员信息以及资源信息等，几乎可以存储所有类型的数据：点子邮件地址， DNS 信息、 NIS 映射、联系人信息列表和电话等信息。 LDAP 中目录由条目（ entry）组成，条目相当于关系数据库中表的记录；条目是具有区别名 DN（ Distinguised Name）的属性（ Attribute）集合。 LDAP 协议集还规定了 DN 的命名方法、存取控制方法、搜索格式、复制方法等。 目录采用树状的层次模型，是目录中存储的对象信息在用户面前表现为一个有序的整体，在一定程度上简化了网络信息和资源的集中管理。 目录不同于一般的关系数据库，它并不是处理频繁的数据更新及表达复杂的对象联系。 相反，在对目录的操作请求中，查找请求的频率要远高于更新请求频率，因此目录一般都被设计为针对查找进行优化，以大量存储相对静态的数据。 适合该系统大量对用户注册信息的读取、查找。 3 系统的设计 8 LDAP 协议既是跨平台的也是基于标准的、互联网上的各种应用无论是运 行在 Unix或 Windows 下，都可以通过 TCP/IP 访问 LDAP Server 上的目录服务信息，无论什么服务器操作系统、文件系统或平台对于客户机都是无关紧要的。 LDAP 是基于 TCP/IP 的应用层协议， LDAP 服务是典型的 C/S 模式，需要读写目录信息的应用并不直接访问目录，它通过调用函数或 API 接口将消息传递给另一个进程，第二个进程作为该用用的代理来访问目录的信息，然后将得到的结果返回给该应用。 因此对用户直接访问和基于 LDAP 的应用开发都是有标准规范的。 便于系统的升级、开发，适用于该系统网络访问。 在起初 选择用户注册信息存储方式时，对比过目录存储和关系型数据库存储的优缺点，总结 LDAP 目录存储在如下方面具有更好优势： ◇ 大量需要频繁读取但修改较少的数据管理方面 ◇ 分层次系统地存储信息方面 ◇ 信息管理与信息检索的集中化 ◇ 采用树状结构，非常方便的可扩展性 ◇ 采用跨平台标准协议，适用于各种系统平台 结合如上优点， 本文 决定采用目录结构存储用户注册信息，提出如下三种解决方案： (1) Windows 平台 需求： Windows 2020 sever 或以上的服务器版本 Active Directory 是 Windows 2020 server 及其更高版本的集成服务，大部分的 Win Server 服务如 DNS,授权服务，组策略，分布式文件系统，集群服务器，远程安装等。 仅配置一台 win server 服务器即可实现。 (2) GNU/Linux 平台 Redhat Linux,或 Fodora core Redhat Linux 带有 OpenLDAP 安装软件包 OpenLDAP 开放源代码，易于理解系统架构技术细节，也能在社区及时同核心开发人员取得联系。 一种灵活支持所有授权方式的产品。 (3) 商业 UNIX 系列平台 Sun Solaris 8 以上版本 Sun Open Network Environment Directory Server 及其周边产品 性能优越，稳定性高，适合企业级服务 本 文中的 系统完成之后将用于校园网用户注册信息的存储，需要在安全性、稳定性、可靠性等各方面提出更高要求，综合考虑之后， 本文 选择第三种方案。 因为， Solaris 操作系统在稳定性、安全性等方面是经得住考验的，商业的目录服务经过了商业的考验更加可靠和稳定。 华中科技大学硕士学位论文 9 为了使目录服务能够更加可靠更加灵活的完成用户认证信息的存储任务，必须重新设计目录的结构。 上 一代目录以服务为基础。 而新的目录将以信息为基础。 本文系统 采用以服务为辅助的方式进行设计。 先开发存储，再开发应用。 针对本 文 系统为高校校园网用户统一身份认证系统， 本文 根据目前高校身份认证的需要，将用户注册信息保存节点设计如下表 所示 ： 表 目录节点设计表 本 文 系统主要用于存储和管理各应用系统的用户名和密码，唯一用于区分用户身份的节点就是 OU，通过判断 OU=Student、 OU=Teacher 或者 OU=VIP 来判断是学生、教师或者其它身份，至于用户在各个系统中的身份、角色、权限，完全由应用系统中存储的该用的信息来决定。 Sun One Directory Server 目录在节点上的设置有个很大的优点，默认情况下，目录本身就定义了 100 多个节点， 可以 根据自己的需要随意扩充，本 文 就采用了使用 SN 表示学号， GiverName 表示身份证号，这样就可以根据用户对目录节点的需要，适当的进行增加节点数量，以此满足了用户对系统扩充的需要。 Sun One Directory Server 目录存储 Sun One Directory Server 的目录服务采用 LDAP 协议， LDAP 协议的查询效率很高，即使是上百万用户，查询速度也极快；目录采用节点结构， Sun 目录本身已经自定义了 100多个节点，便于用户系统的使用和扩充；该目录服务，作为一个整体来讲更具优势，它采用分布式结构，更加开放，形成的客户资 料全部由用户系统自己掌握，增加了安全性；在项目实施过程中， Sun One Directory Server 给人印象最深的就是开放性，它在管理上的伸缩性优于其他同类产品。 目录节点 含义 注释 UID 用户名 英文字母或数字注册 UserPassword 密码 SSHA 加密 CN 姓名 SN 学号 /职工号 GivenName 身份证号 Mail 邮件 用于找回密码 DisplayName 昵称 OU 类别 Student/Teacher 3 系统的设计 10 本 文 系统的 Sun One Directory Server 安装在 Sun 的 280R Sparc 服务器的 操作系统上，从服务器选择、操作系统选择、目录存储软件选择完全采用 Sun 公司的产品，在系统稳定性，安全性，可靠性上都得到了最大限度的保障。 关于目录存储， 因为这是一个完善的商业软件，本 文 系统对于它的使用只是冰山一角，本文 现 在只是采用了它的存储功能，对于 Sun 公司的这个强大系统， 本文 不多做介绍，下面针对 在安装、配置方面使用的一些用法、配置介绍如下： 本文介绍 安装的服务器是 Sun 280R，操作系统选择 Sparc，操作系统安装完毕之后，配置 SSH 远程连接， Ftp 服务，关闭一些不使用的服务诸如 Sendmail， Nfs 等之后可以参照 Sun 公司提供的 Sun One Diretory Server 安装配置指南，进行安装，具体安装如下： 1．从 Sun 官方网站下载 Directory Server 安装文件，下载路 径： 在下载时，会需要你在 Sun 的官方网站注册用户，然后就可以免费使用， 本文 选择的是 Sun One Directory 版本。 本文 除了下载了针对 Solaris 版本的目录安装文件，同时下载了基于 Windows 版本的安装文件， Solaris 版本安装在服务器端， 通过在 Windows 系统下安装 Sun One 目录客户端，可以远程调用服务器端，如同在服务器端操作。 2．安装之初，需要准备如下表 内容所示： 表 Sun One Directory Server 安装准备资料列表 名称 用途 参考内容 管理域 设置节点 DC 固定 Ip 地址 提供固定服务 域名 远程客户端访问必须 目录管理员 ID 目录管理员 Admin（默认） 目录管理员口令 123456 目录管理员 DN 目录超级用户 =Directory Manager 目录管理员 DN 口令 12345678（最少八位） Directory Server 端口号 提供 调用 /远程访问 389/Ldap 390/SSL 服务器后缀 确定 dc dc=zzti,dc=edu,dc= 目录服务 ID 目录名称 Ldap 安装路径 Solaris 安装路径 /var/Sun/mps/serverroot 华中科技大学硕士学位论文 11 3．建议在安装 Sun One 目录之初，将 Solaris 的系统补丁升级至最新； 4．如果 系统是 版本，安装目录相对简单，超级管理员登陆之后： root Tar xvf /zc/ root ./setup 5．在安装过程中，将提前准备的信息一一写入，完成安装。 6．简单一些管理路径和命令： root Serverro。